leroypl Opublikowano 8 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 8 Sierpnia 2021 Witam, zabrałem się za ogarnięcie laptopa młodszego brata. Zauważyłem duże obciążenie procesora programem Great Discover, który służy prawdopodobnie do miningu w stanie spoczynku. Wyłączenie procesu z poziomu Menedżera Zadań nic nie daje, program uruchamia się ponownie. Do tego w przeglądarkach zauważyłem syf w postaci bing, który zmienia się w stronę startową. Menedżer zadań pokazuje aktywne, podejrzane procesy: EpicWebHelper.exe (To chyba od EpicGames), GoogleCrashHandler, Great Discover, Great Discover App, IServ (w tym SAntivirusIC - SpyHunter pokazał jako złośliwe oprogramowanie), LightKeeperService - nie wiem co to jest, McAfee WebAdvisor, S A Service, SEG_Client i możliwe, że coś jeszcze. Braciak instaluje różne programy nie zwracając uwagi przy instalacji, że dodatkowy syf się przy tym instaluje, będę go musiał uświadomić. Nie wiem czy coś jeszcze z logów nie wyskoczy ciekawego. Rdzenie grzeją się dosyć wysoko, dochodzi do 95 stopni (za sprawą Great Discover). Po wyczyszczeniu z syfu będę robić undervolting, jeżeli poprawa nie będzie zauważalna. Podstawka chłodząca jest używana. Z góry dzięki za pomoc, pozdrawiam. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
Krzesimierz Opublikowano 8 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 8 Sierpnia 2021 Tak, w systemie jest miner Great Discover, który obciąża procesor. Są też programy reklamowe SSOption i SAntivirus Ściągnij AdwCleaner Uruchom system w trybie awaryjnym Odintaluj Great Discover, SSOption, SAntivirus Realtime Protection Lite, WebAdvisor firmy McAfee, SpyHunter W systemie jest Avast, jeden antywirus wystarczy, jak jest więcej mogą stwarzać problemy. Po wszystkich operacjach dobrze będzie też przeinstalować Avasta, ponieważ miner mógł go dezaktywować. Kolejno Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Pokaż ukrytą zawartość (Devine Software Oy -> Devine Software Oy) C:\Program Files\Devine Software Oy\Great Discover\Great Discover App.exe (Devine Software Oy -> Devine Software Oy) C:\Program Files\Devine Software Oy\Great Discover\Great Discover.exe <2> (Digital Communications Inc -> Сorp ÐCom) C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusClient.exe (Digital Communications Inc -> Сorp ÐCom) C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusIC.exe (Digital Communications Inc -> Сorp DCom) C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusService.exe R2 Great Discover; C:\Program Files\Devine Software Oy\Great Discover\Great Discover.exe [2809792 2021-04-01] (Devine Software Oy -> Devine Software Oy) S2 rsClientSvc; "C:\Program Files\RAVAntivirus\rsClientSvc.exe" [X] S2 rsEngineSvc; "C:\Program Files\RAVAntivirus\rsEngineSvc.exe" [X] S2 FaboStrilanceLi; C:\Program Files (x86)\FaboStrilanceLi\FaboStrilanceLi.exe -system -token 957a6c [X] R2 SAntivirusIC; C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusIC.exe [6940688 2021-04-20] (Digital Communications Inc -> Сorp ÐCom) <==== UWAGA R2 SAntivirusSvc; C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusService.exe [690192 2021-04-20] (Digital Communications Inc -> Сorp DCom) <==== UWAGA R1 TASANTIVIRUSKD; C:\Program Files (x86)\Digital Communications\SAntivirus\TASAntivirusKD.sys [86024 2021-04-20] (Digital Communications Inc -> Corp DCom) <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {02f8364c-4386-4fe6-a93e-0be9f9a48f84} - Brak ścieżki do pliku Task: {e85426a6-d961-4ada-829a-a30957f2f6db} - Brak ścieżki do pliku Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono] Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono] Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono] Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono] CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.) W FRST kliknij na Fix (NAPRAW). Użyj AdwCleaner Zresetuj chrome do ustawień domyślnych Menu > Settings > Advanced > Reset and clean up > Restore settings to their original defaults Uwaga: zostaną skasowane zapisane w chrome hasła oraz zakładki. Wcześniej można zrobić kopię jeśli potrzeba. Uruchom ponownie system Wklej nowe logi oraz plik fixlog. Napisz jaka jest sytuacja. Odnośnik do komentarza
leroypl Opublikowano 9 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 9 Sierpnia 2021 Witam Krzesimierzu w nowy dzień i dziękuję za odpowiedź. :) Operacje wykonane. W trakcie robienia poleceń Avast wykrył jeszcze jedno zagrożenie, wygląda na to, że to software od MSI do zmiany głosu, dałem do kwarantanny. (IDP.Generic - VoiceControlEngine.exe) W procesach nie widzę już tych programów, także raczej sukces. Niepokoją mnie jeszcze dwa programy, które widzę w menu Ukryte ikony, są to: Nahimic Companion (aczkolwiek widzę, że to również soft audio od MSI) i Taskbar system (wygląda na syf do kastomizacji paska Windows). Przywróciłem Chrome do ustawień domyślnych, ale przeglądarka zostawiła zapisane hasła i zakładki. To samo zrobiłem z Edge. AdwCleaner wykrył parę pozycji, dałem do kwarantanny i usunąłem. Pozdrawiam. Addition.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... AdwCleaner[C00].txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
Krzesimierz Opublikowano 9 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2021 Tak oczywiście, Taskbar system też trzeba usunąć. Brawo za czujność. Co do VoiceControlEngine i Nahimic to nieszkodliwe programy do kontroli dźwięku. Są zbędne dlatego można je usunąć. Ogólnie wszystkie programy, których się nie używa powinno się usuwać. Np. wszystkie programy producenta z ścieżki C:\Program Files (x86)\MSI\One Dragon Center\ to zbędny bloatware Poprzednie wpisy usunęły się poprawnie. Teraz można już bez wchodzenia do trybu awaryjnego. Usuwamy Taskbar system i czyścimy ze starych wpisów. Odinstaluj Taskbar system Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Pokaż ukrytą zawartość HKU\S-1-5-21-2372893658-1318577149-1371967551-1001\...\Run: [Taskbar system] => C:\Users\Filip\AppData\Local\Programs\Taskbar system\TaskbarSystem.exe [918040 2021-01-13] (Globalhop Ltd TOO -> ) 2021-04-20 20:03 - 2021-01-13 09:57 - 014318734 _____ () [Brak podpisu cyfrowego] C:\Users\Filip\AppData\Local\Programs\Taskbar system\sdk.dll (Globalhop Ltd TOO -> ) C:\Users\Filip\AppData\Local\Programs\Taskbar system\TaskbarSystem.exe HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA CustomCLSID: HKU\S-1-5-21-2372893658-1318577149-1371967551-1001_Classes\CLSID\{2F81B25E-7507-4844-BFF2-77D2CC24CED4}\localserver32 -> "C:\Program Files\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" -ToastActivated => Brak pliku CustomCLSID: HKU\S-1-5-21-2372893658-1318577149-1371967551-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Filip\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku FirewallRules: [{B3ACDA3D-68C7-4DB7-8F67-E184CB67A764}] => (Allow) C:\Users\Filip\AppData\Roaming\Zoom\bin\Zoom.exe => Brak pliku FirewallRules: [{A42B4B2C-38D8-43AA-AF14-CFEDBE25C40A}] => (Allow) C:\Users\Filip\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku FirewallRules: [{9DCF7E1E-92B3-4B5F-9A3F-058FD946DDC6}] => (Allow) C:\Users\Filip\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku FirewallRules: [{DAD3EA2A-FEB6-43E0-8E05-DF91E7B0A1FC}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\VRChat\VRChat.exe => Brak pliku FirewallRules: [{A08BB026-0A1A-4C0A-942A-8DB70686E6D0}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\VRChat\VRChat.exe => Brak pliku FirewallRules: [TCP Query User{695AD252-37D3-4EA4-AB28-2CBA9BE497D0}C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku FirewallRules: [UDP Query User{EE9263F2-938D-4EF7-A205-9FD5A347532A}C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku FirewallRules: [TCP Query User{4DF6AFB5-0085-42F6-A7F4-79B4B0F8CE4E}C:\program files\windowsapps\facebook.317180b0bb486_910.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_910.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku FirewallRules: [UDP Query User{DDC9CBE1-851C-4722-B395-5EB2951A4213}C:\program files\windowsapps\facebook.317180b0bb486_910.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_910.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku FirewallRules: [{9EEE651F-6085-4365-AD10-322A0BDF6FAB}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku FirewallRules: [{42128B38-15EA-4153-A84B-4D5121345A47}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku FirewallRules: [{1CD96F5B-7B0E-46CB-98A2-08BD766D8C1D}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku FirewallRules: [{46A2F15A-8E06-404E-BBE5-642C7EBD71FC}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku FirewallRules: [{832E873A-4BE4-46E4-986B-251490DBAED2}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku FirewallRules: [{355CAFF4-C78D-45C5-A7DB-73A8BDE3F1F7}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku FirewallRules: [{16BE1A34-28E9-44CC-B096-78A685C01C4A}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Brak pliku FirewallRules: [TCP Query User{1347D303-0D55-4C03-B1FD-7EE32F17EB67}C:\program files\windowsapps\facebook.317180b0bb486_950.7.118.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_950.7.118.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku FirewallRules: [UDP Query User{5ECCF315-0260-4562-994E-163147F8F0EC}C:\program files\windowsapps\facebook.317180b0bb486_950.7.118.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_950.7.118.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.) W FRST kliknij na Fix (NAPRAW). Użyj AdwCleaner Uruchom ponownie system Wklej plik fixlog. Napisz jaka jest sytuacja. Procesor już się uspokoił, prawda? Odnośnik do komentarza
leroypl Opublikowano 9 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 9 Sierpnia 2021 W dniu 9.08.2021 o 15:41, Krzesimierz napisał(a): Co do VoiceControlEngine i Nahimic to nieszkodliwe programy do kontroli dźwięku. Są zbędne dlatego można je usunąć. Ogólnie wszystkie programy, których się nie używa powinno się usuwać. Np. wszystkie programy producenta z ścieżki C:\Program Files (x86)\MSI\One Dragon Center\ to zbędny bloatware Rozwiń Tak też zrobiłem. Tak, procesor się uspokoił, zapomniałem wspomnieć w poprzednim wpisie. Już jajek na nim nie ugotuje. \?/ AdwCleaner niczego nie wykrył, miodzio. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
Krzesimierz Opublikowano 9 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2021 Naprawa wygląda dobrze. Proponuję zainstalować ponownie Avasta, bo może być uszkodzony. Odnośnik do komentarza
leroypl Opublikowano 9 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 9 Sierpnia 2021 Już został przeinstalowany. Skoro logi już są okej to nie pozostaje mi nic innego jak podziękować za pomoc i współpracę! Życzę wszystkiego dobrego i pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się